局域网络环境下ARP欺骗攻击及安全防范策略

1、局域网络环境下ARP欺骗攻击及平安防范策略摘要文章介绍了ARP地址解析协议的含义和工作原理，分析了ARP协议所存在的平安破绽，给出了网段内和跨网段ARP欺骗的实现过程。最后，结合网络管理的实际工作，重点介绍了IP地址和A地址绑定、交换机端口和A地址绑定、VLAN隔离等技术等几种可以有效防御ARP欺骗攻击的平安防范策略，并通过实验验证了该平安策略的有效性。关健词ARP协议ARP欺骗A地址IP地址网络平安ARP(AddressReslutinPrtl)即地址解析协议，该协议将网络层的IP地址转换为数据链路层地址。TPIP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或

2、者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的A地址，同时规定A地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的A地址，并实现双方通信。图1网段内ARP工作原理图2夸网段ARP工作原理源主机在传输数据前，首先要对初始数据进展封装，在该过程中会把目的主机的IP地址和A地址封装进去。在通信的最初阶段，我们可以知道目的主机的IP地址，而A地址却是未知的。这时假如目的主机和源主机在同一个网段内，源主时机以第二层播送的方式发送ARP恳求报文。ARP恳求报文中含有源主机的I

3、P地址和A地址，以及目的主机的IP地址。当该报文通过播送方式到达目的主机时，目的主时机响应该恳求，并返回ARP响应报文，从而源主机可以获取目的主机的A地址，同样目的主机也可以获得源主机的A地址。假如目的主机和源主机地址不在同一个网段内，源主机发出的IP数据包会送到交换机的默认网关，而默认网关的A地址同样可以通过ARP协议获龋经过ARP协议解析IP地址之后，主时机在缓存中保存IP地址和A地址的映射条目，此后再进展数据交换时只要从缓存中读取映射条目即可。ARP协议工作原理详见图1和图2。3.1网段内的ARP欺骗攻击ARP欺骗攻击的核心就是向目的主机发送伪造的ARP应答，并使目的主机接收应答中伪造的

4、IP与A间的映射对，并以此更新目的主机缓存。设在同一网段的三台主机分别为,，详见表1。表1：同网段主机IP地址和A地址对应表用户主机IP地址A地址A1010100100-E0-4-11-11-11B1010100200-E0-4-22-22-221010100300-E0-4-33-33-33假设与是信任关系，欲向发送数据包。攻击方通过前期准备，可以发现的破绽，使暂时无法工作，然后发送包含自己A地址的ARP应答给。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存，而不考虑是否发出过真实的ARP恳求，所以接收到应答后，就更新它的ARP缓存，建立新的IP和A地址映射对，即的IP地址10

5、101002对应了的A地址00-E0-4-33-33-33。这样，导致就将发往的数据包发向了,但和B却对此全然不知，因此就实现对A和B的监听。3.2跨网段的ARP欺骗攻击跨网段的ARP欺骗比同一网段的ARP欺骗要复杂得多，它需要把ARP欺骗与IP重定向攻击结合在一起。假设和在同一网段，在另一网段，详见表2。表2：跨网段主机IP地址和A地址对应表用户主机IP地址A地址A1010100100-E0-4-11-11-11B1010100200-E0-4-22-22-221010200300-E0-4-33-33-33首先攻击方修改IP包的生存时间，将其延长，以便做充足的播送。然后和上面提到的一样，寻

6、找主机的破绽，攻击此破绽，使主机暂时无法工作。此后，攻击方发送IP地址为的IP地址10101002，A地址为的A地址00-E0-4-33-33-33的ARP应答给。接收到应答后，更新其ARP缓存。这样，在主机上的IP地址就对应的A地址。但是，在发数据包给时，仍然会在局域网内寻找10101002的A地址，不会把包发给路由器，这时就需要进展IP重定向，告诉主机到10101002的最短途径不是局域网，而是路由，请主机重定向路由途径，把所有到10101002的包发给路由器。主机在承受到这个合理的IP重定向后，修改自己的路由途径，把对10101002的数据包都发给路由器。这样攻击方就能得到来自内部网段的

7、数据包。4ARP欺骗攻击平安防范策略4.1用户端绑定在用户端计算机上绑定交换机网关的IP和A地址。1首先，要求用户获得交换机网关的IP地址和A地址，用户在DS提示符下执行arpa命令，详细如下：:DuentsandSettingsuserarp-aInterfae:10.10.100.1-0 x2InternetAddressPhysialAddressType10.10.100.25400-40-66-77-88-d7dynai其中10.10.100.254和00-30-6d-b-9-d7分别为网关的IP地址和A地址，因用户所在的区域、楼体和交换机不同，其对应网关的IP地址和A地址也不一样。

8、2编写一个批处理文件arp.bat，实现将交换机网关的A地址和网关的IP地址的绑定，内容如下：ehffarp-darp-s10.10.100.25400-40-66-77-88-d7用户应该按照第一步中查找到的交换机网关的IP地址和A地址，填入arps后面即可，同时需要将这个批处理软件拖到“inds-开场-程序-启动中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用户起到一个很好的保护作用。4.2网管交换机端绑定在核心交换机上绑定用户主机的IP地址和网卡的A地址，同时在边缘交换机上将用户计算机网卡的A地址和交换机端口绑定的双重平安绑定方式。1IP和A地址的绑定。在核心交换机上将所有局

9、域网络用户的IP地址与其网卡A地址一一对应进展全部绑定。这样可以极大程度上防止非法用户使用ARP欺骗或盗用合法用户的IP地址进展流量的盗龋详细实现方法如下以AVAYA三层交换机为例：P580(nfigure)#arp10.10.100.100:E0:4:11:11:11P580(nfigure)#arp10.10.100.200:E0:4:22:22:22P580(nfigure)#arp10.10.200.300:E0:4:33:33:332A地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号，将用户计算机网卡的A地址和交换机端口绑定。此方案可以防止非法用

10、户随意接入网络端口上网。网络用户假如擅自改动本机网卡的A地址，该机器的网络访问将因其A地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。详细操作如下以AVAYA二层边缘交换机为例：nsle(enable)lkprt1/1nsle(enable)adda00:E0:4:11:11:111Address00:E0:4:11:11:11asaddedttheseurelist!nsle(enable)lkprt1/2nsle(enable)adda00:E0:4:22:22:222Address00:E0:4:22:22:22asaddedttheseurelist!nsle(e

11、nable)lkprt1/3nsle(enable)adda00:E0:4:33:33:333Address00:E0:4:33:33:33asaddedttheseurelist!nsle(enable)shaVLANDestA/RuteDesDestinatinPrt100:E0:4:11:11:111/1100:E0:4:22:22:221/2100:E0:4:33:33:331/34.3采用VLAN技术隔离端口局域网的网络管理员可根据本单位网络的拓卜构造，详细规划出假设干个VLAN，当管理员发现有非法用户在恶意利用ARP欺骗攻击网络，或因合法用户受病毒ARP病毒感染而影响网络时，网络管

12、理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN将该用户与其它用户进展物理隔离，以防止对其它用户的影响。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响，从而到达平安防范的目的。网络欺骗攻击作为一种非常专业化的攻击手段，给网络平安管理者带来了严峻的考验。ARP欺骗是一种典型的欺骗攻击类型，它利用了ARP协议存在的平安隐患，并使用一些专门的攻击工具，使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理，讨论了ARP协议从IP地址到A地址解析过程中的平安性，给出了网段内和跨网段ARP欺骗的实现过程，提出了几种常规可行的解决方案，如在用户计算机上绑定交换机网关的IP地址和A地址、在交换机上绑定用户主机的IP地址和网卡的A地址或绑定用户计算机网卡的A地址和交换机端口、VLAN隔离等技术。假如多种方案配合使用，就可以最大限度的杜绝ARP欺骗攻击的出现。总之，对于ARP欺骗的网络攻击，不仅需要用户自身做好防范工作之外，更需要网络管理员应该时刻保持高度警觉，并不断跟踪防范欺骗类攻击的最新技术，做到防范于未然。1邓清华,陈松乔.ARP欺骗攻击及其防范J.微机开展,